Baixe o app para aproveitar ainda mais
Prévia do material em texto
48 Unidade II Unidade II 3 PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) OU BUSINESS CONTINUITY PLAN (BCP) O Plano de Continuidade do Negócio (PCN), também conhecido como Business Continuity Plan (BCP), de acordo com a NBR ISO 22301:2020, é definido como “um conjunto de procedimentos documentados que orientam as organizações a responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção” (ABNT, 2020b). Para Oliveira (2014), um PCN é um conjunto de estratégias e de planos de ação preventivos que garantem o pleno funcionamento dos serviços essenciais de uma empresa durante quaisquer tipos de falhas, até que a situação seja normalizada. O PCN é uma medida administrativa que visa, sobretudo, assegurar que as operações (pelo menos as críticas) sejam mantidas durante uma crise ou evento negativo. Seu principal objetivo é a prevenção da ocorrência de desastres. Ele também é um conjunto de planos e de procedimentos que devem ser utilizados em um processo de gerenciamento de crise, a fim de que sejam mantidas as atividades vitais para a organização naquele momento. É necessário que o PCN tenha estreita relação com as estratégias e os planos táticos da empresa. É por ele que é montado um plano de ações que garante os serviços essenciais de continuidade da empresa. Todos os envolvidos (direção e demais interessados na organização) devem ter conhecimento de todas as partes do PCN. Embora a implantação do PCN fique a cargo da alta direção da companhia, toda a equipe de gerenciamento deve auxiliar nas atividades de criação, manutenção, divulgação e coordenação desse plano. 3.1 Vantagens oriundas do PCN A empresa que adota um PCN confirma que dispõe de boas práticas de gestão e governança e que conta com os benefícios expostos a seguir: • identificação dos processos críticos e de seus respectivos impactos em termos de ruptura no funcionamento da companhia; • determinação do grau de exposição que os riscos podem gerar; 49 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO • implementação de respostas eficientes a possíveis interrupções, o que acontece como consequência do planejamento das ações necessárias a serem tomadas; • manutenção da equipe preparada e treinada para eventuais ocorrências relevantes; • preservação da imagem da companhia perante seus clientes e a sociedade como uma empresa de gestão administrativa profissional e que adota boas práticas; • minimização ou eliminação de possíveis impactos negativos nas partes interessadas e nos bens ativos; • sobrevivência da empresa (continuidade do negócio), que é a essência do porquê de usar esse framework frente a qualquer crise; • transmissão clara para a sociedade da mensagem de que a companhia melhora constantemente. Enfim, o PCN deve fazer parte de uma governança corporativa bem estruturada, amparada por boas práticas de gestão. Não existem penalidades legais para uma empresa que não implementa um PCN; entretanto, devemos lembrar que as empresas dependem de clientes e que esses clientes desejam ser bem atendidos em suas aspirações e necessidades. Os clientes migram para aquelas empresas que os atendem com as condições por eles esperadas. Isso significa que, embora não exista penalidade legal, a ausência da manutenção das condições mínimas de atendimento às necessidades dos clientes pode provocar a ida de tais clientes para outra companhia. Essa é uma grande penalização em termos factuais. Tome, por exemplo, uma pessoa que investe seu dinheiro em uma instituição financeira. Além do lucro, o desejo dessa pessoa é a segurança de que ela não sofrerá prejuízo no caso de uma eventual crise. Um PCN pode servir de garantia contra o risco de perdas por impactos nas operações da organização. 3.2 Estruturação do PCN Na estruturação de um PCN, as diretrizes devem partir da alta administração e ser do conhecimento de todos os colaboradores da organização. Todos os funcionários da empresa devem ter ciência das fases e ações previstas no PCN e, se possível, contribuir na sua elaboração. Afinal, são as pessoas envolvidas no dia a dia com a operação da empresa as mais indicadas para auxiliar na identificação de possíveis riscos e ameaças. Para a construção de um PCN eficaz, devem ser estudadas as três questões básicas expostas a seguir: • O que de ruim pode acontecer e quais são as principais ameaças ao negócio? • Como as ameaças podem impactar o negócio? • O que fazer caso uma ameaça de fato se apresente? 50 Unidade II Inicialmente, o PCN deve considerar as situações de riscos com maior impacto (ou seja, as situações críticas) para, depois, ampliar seus estudos e buscar soluções para enfrentar outras situações de perigo. Normalmente, um PCN é estruturado em quatro subplanos menores, indicados a seguir: • Plano de Contingências (PC): trata-se do plano que prevê as ações da empresa quando todas as prevenções falharem. • Plano de Administração ou de Gerenciamento de Crises (PAC): trata-se do plano que define as funções e as responsabilidades das equipes envolvidas com o acionamento das ações de contingência antes, durante e após a ocorrência do desastre. • Plano de Recuperação de Desastres (PRD): trata-se do plano que determina o que deve ser feito para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação. • Plano de Continuidade Operacional (PCO): trata-se do plano que visa ao restabelecimento do funcionamento dos principais ativos que suportam as operações da empresa. Em suma, o PCN tem como objetivo a criação de normas e padrões de procedimentos para que, em situações adversas, a empresa possa retomar seu caminho e dar prosseguimento aos seus processos de negócio. Para que ele tenha sucesso, é importante que ele esteja alinhado com a missão, com as metas e com a visão da empresa. Não adianta a busca por um objetivo ser diferente do que está no plano estratégico da empresa. Um ponto importante na estruturação de um PCN refere-se aos treinamentos que visam à mudança cultural dos colaboradores. São os colaboradores que, efetivamente, constituem a companhia. Os treinamentos de mudança cultural têm como meta mostrar que todos são responsáveis pela empresa. Muitas vezes, os colaboradores colocam a empresa em risco sem saber que o estão fazendo. Tomemos, por exemplo, a situação na qual, em um ambiente corporativo, não exista a possibilidade de utilização de pendrive ou de acesso à internet em determinado computador. Suponha, agora, que, por falta de conhecimento ou por desrespeito a determinada regra, um colaborador tente acessar a internet ou usar um pendrive naquele computador. Consciente ou não, esse colaborador coloca a organização em situação de risco, pois a ação por ele praticada pode comprometer a segurança das informações contidas naquela máquina. Da mesma forma que o ator da transgressão coloca a segurança da empresa em risco, aquele que vê e pensa “isso não é da minha conta” comete erro. A segurança das informações faz parte da continuidade do negócio, e isso é “da conta” de todos os funcionários da empresa. Na área de tecnologia da informação (TI), a situação não é diferente. Ter governança de TI é fundamental para diminuir os riscos, conseguir resultados mais favoráveis e alinhados aos objetivos da empresa e manter a continuidade do negócio. 51 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Para garantir a governança, o Cobit (sigla para Control Objectives for Information and Related Technology) é o principal conjunto de ferramentas. Ele é um conjunto de práticas de controle da informação, que vão desde o planejamento até o monitoramento de resultados, cuja estrutura é capaz de fornecer governança de TI e que tem como principal objetivo a geração de valor para a empresa e para os seus processos. Saiba mais Para saber mais sobre o Cobit, sugerimos o que segue. Assista ao seguinte vídeo: COBIT 5 em 5 minutos | O que é Cobit? Brasil: Portal GSTI, 2017.5 min. Disponível em: https://www.youtube.com/watch?v=_zW-tfHKbdE. Acesso em: 22 abr. 2021. Leia o subtítulo 8.1 da seguinte publicação: FERNANDES, A. A.; DINIZ, J. L.; ABREU, V. F. Governança digital 4.0. Rio de Janeiro: Brasport, 2019. 3.2.1 Responsabilidades, consequências e estruturação de um PCN Apesar de todas as decisões serem tomadas por um grupo de pessoas, deve existir um responsável pelo PCN. Em grandes empresas, com várias unidades, pode haver um responsável para cada unidade, o que constitui uma equipe de responsáveis. Esse(s) responsável(is) tem(têm) o poder de decisão, em qualquer situação de imprevisto ou de indisponibilidade, para colocar em prática o PCN. A oportunidade de uso do PCN deve ser analisada usando a matriz Raci como ferramenta de análise. Lembrete Raci é a sigla formada pelas iniciais de Responsável (Responsible), Aprovador (Accountable), Consultado (Consulted) e Informado (Informed). Na matriz Raci são atribuídas as responsabilidades e informadas as ações necessárias de cada envolvido. 52 Unidade II Observação A matriz Raci foi estudada no subtítulo 1.4.4. Em cada empresa, de acordo com seu segmento de atuação e conforme o produto ou serviço prestado, devem ser definidas prioridades específicas a serem incluídas no PCN (isso deve ser feito juntamente com a gestão da continuidade do negócio, que será objeto de estudo na próxima unidade). Conforme dissemos, o objetivo é, passada a situação de crise, restabelecer as funções normais da empresa. A figura a seguir mostra o que pode acontecer com uma empresa após um incidente: Depois da implementação de um PCN Antes da implementação de um PCN OMCN - objetivo mínimo de continuidade de negócios Estado operacional da empresa 100% Incidente Tempo Figura 6 – Conceito de plano e gestão de continuidade do negócio Essa figura mostra que, antes do incidente, o estado operacional da empresa era 100% da sua capacidade e que, após o incidente, existem dois caminhos possíveis: um cenário com um PCN e outro sem. Observe como o estado operacional da empresa cai de forma abrupta na situação em que não há a implementação de um PCN. Veja, também, que a redução do estado operacional é menos intensa quando há um PCN. Na figura, ainda é possível verificar que é estabelecido um objetivo mínimo de continuidade de negócio (OMCN): trata-se do valor mínimo aceitável para que a empresa continue com seus negócios e não sofra solução de continuidade. 53 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO O PCN é baseado em alguns princípios, que são fundamentais para a continuidade do negócio. Tais princípios estão expostos a seguir: • Prevenção de incidentes: significa proteger contra ameaças (como as geradas pelo ambiente), falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais. • Detecção de incidentes: significa detectar incidentes o mais cedo possível, minimizar impactos, reduzir esforços de recuperação e preservar a qualidade da entrega de valor para o cliente. • Resposta: significa responder a um incidente da maneira mais apropriada possível, o que resulta em recuperação mais eficiente e redução da quantidade de paradas. • Recuperação: significa identificar e implementar a estratégia de recuperação apropriada, o que garante a recuperação dos serviços dentro de um tempo aceitável. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. • Melhoria: significa usar as lições aprendidas de incidentes anteriores, o que é fundamental para o estabelecimento de um PCN eficaz. É importante que os incidentes e suas consequências sejam documentados e analisados criticamente. O entendimento dessas lições permite que a organização esteja mais bem preparada para o futuro. A figura a seguir mostra como os elementos em um PCN ficam em uma linha de tempo: Resposta Recuperação Mitigação de risco e monitoramento, teste e exercícios Detecção Tempo de recuperação Tempo de ativação do plano Tempo de detecção Operação normal Tempo zero Incidente ocorre Incidente resolvido Detectar incidente Iniciar recuperação em local alternativo Retorno à operação normal de negócio Operação recuperada (min) em local alternativo Figura 7 – Princípios do PCN em uma linha de tempo para a recuperação de desastres O tempo de detecção, que é o tempo entre a ocorrência de um incidente e sua detecção, deve ser o menor possível. Por isso, o monitoramento da operação deve ser constante. Note que a soma do tempo de detecção com o tempo de resposta constitui o tempo de ativação. Assim, quanto mais rápida for a resposta, mais rápida será a ativação. 54 Unidade II O tempo de recuperação é consequência do tempo de ativação. Quanto mais rápidas forem a detecção e a resposta, mais rapidamente o negócio estará de volta à sua operação normal. 3.2.1.1 Estruturação de um PCN A estrutura de um PCN é semelhante à estrutura feita para um planejamento empresarial. Assim, os participantes são reunidos em três grupos: • grupo estratégico; • grupo tático; • grupo operacional. A hierarquia desses grupos é apresentada na figura: Política - diretrizes do PCN, estruturação do sistema de gestão de continuidade do negócio, análise de impacto Gerenciamento de risco - plano de gerenciamenteo de incidentes, gerenciamento de crises, mitigação de riscos, plano de continuidade operacional Planos - recuperação de desastres, continuidade do negócio, teste e validações Estratégico TáticoN íve is Operacional Figura 8 – Níveis de atuação do PCN A relação entre esses grupos pode ser entendida como sendo a mesma relação existente em um planejamento empresarial. O grupo estratégico é responsável pela política, o grupo tático é responsável pelo gerenciamento de riscos e o grupo operacional é responsável pelos planos para a continuidade do negócio. 3.2.1.2 Grupo estratégico O grupo estratégico é responsável pelas decisões estratégicas da corporação e é composto por dois subgrupos: o grupo executivo e o grupo de comunicação e de apoio ao executivo. 55 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO • Grupo executivo: formado pela diretoria executiva. Esse grupo tem como função a determinação das diretrizes básicas do PCN e a tomada de decisões em eventos ou crises de contingências que afetem toda a empresa. • Grupo de comunicação e de apoio ao executivo: formado pelos colaborares que contribuem no processo de decisão do grupo executivo. Esse grupo reporta informações aos clientes, à imprensa (quando envolve grandes repercussões), aos fornecedores, aos grupos específicos de pessoas, às autoridades etc. Além disso, tal grupo é responsável por passar informações para a área interna da empresa. 3.2.1.3 Grupo tático Também conhecido como grupo de administração de crises, o grupo tático é formado por todos os colaboradores que exercem a supervisão de um grupo operacional. É isso que garante a execução dos planos operacionais. 3.2.1.4 Grupo operacional O grupo operacional é formado por todos os colaboradores com responsabilidades operacionais que estão inseridos no PCN. Engloba os envolvidos com as questões administrativas e de infraestrutura física, lógica, de alimentação, de transporte, de segurança e de apoio. 3.3 Elaboração do PCN A elaboração de um PCN exige um estudo detalhado dos processos da empresa para que seja possível identificar aqueles que são críticos para seu funcionamento. Observação Recomenda-se que os estudos relativos ao PCN sejam feitos por profissionais e empresas com experiência no assunto, gabaritados e certificados para tal. Após o mapeamento dos principais processos, deve ser feito o mapeamento das ameaças e das vulnerabilidades existentes, cujo objetivo é a detecção dos riscos e dos prováveis prejuízos. A próxima etapa é a realização de uma análise de riscos, que qualifica e quantifica os possíveis prejuízos. Além de estimar as possíveisperdas operacionais, a análise de riscos tem como objetivo evitar que elas aconteçam. O modelo de análise de risco indicado pela NBR ISO 27005:2019 é o que a figura a seguir apresenta: 56 Unidade II Definição do contexto Co m un ic aç ão d o ris co M onitoram ento e análise crítica de riscos Identificação de riscos Estimativa de riscos Avaliação de riscos Tratamento do risco Aceitação do risco Não Não Ponto de decisão 1 Avaliação satisfatória Análise de riscos Análise/avaliação riscos Ponto de decisão 2 Tratamento satisfatório Sim Sim Figura 9 – Modelo de análise de risco As fases da análise de risco são seguidas de outras etapas que buscam montar um panorama do que pode ser feito caso uma ameaça se concretize. A figura a seguir mostra as fases da implantação de um PCN: 57 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Fase 1 Planejamento ↓ Fase 2 Levantamento de dados ↓ Fase 3 Análise de impacto nos negócios (BIA) ↓ Fase 4 Estratégia de recuperação ↓ Fase 5 Desenvolvimento dos planos Figura 10 – Fases para implantação de um PCN 3.3.1 Fase 1: planejamento Na primeira fase de um PCN, que é a fase de planejamento (fase 1), deve ocorrer um planejamento detalhado de todo o processo para a elaboração desse plano. Nessa etapa, definimos equipes, grupos, responsáveis e periodicidade dos encontros e elaboramos a previsão orçamentária para a preparação e a implantação do PCN. É comum que, nessa etapa, ocorram workshops e reuniões de equipes multidisciplinares. O produto dessa fase do planejamento é a declaração de escopo do Sistema de Gestão de Continuidade de Negócios (SGCN). A seguir, é apresentado um modelo de documentos de declaração de escopo do SGCN, adaptado de Manoel (2019): Exemplo de aplicação Modelo de documentos de declaração de escopo do SGCN Quadro 4 Empresa H. V. Aidar Certo Tipo: Plano Código do documento: PL-SGCN-003-U.F.A. Declaração de escopo do Sistema de Gestão de Continuidade de Negócios Autor: Nome da pessoa ou do grupo Revisado em: 10/01/2019 Aprovador: Nome da pessoa ou do grupo Versão: 1.00 Aprovação: 10/02/2019 58 Unidade II Finalidade A finalidade desse documento é definir claramente os limites do Sistema de Gestão da Continuidade de Negócios da Organização (SGCN). Os usuários do documento são membros de alta direção, chefes de continuidade de negócios e membros da equipe que irão operar e manter o sistema de gestão. O documento aborda os assuntos listados a seguir: • Escopo do SGCN. • Resultados pretendidos com o SGCN. • Partes interessadas. • Arquitetura de infraestrutura de rede. • Inventário de ativos de informação (ambiente físico, pessoas, tecnologia e processos). • Ambiente físico onde a organização está alocada. • Perímetro físico do escopo. • Interfaces internas. • Colaboradores sob o escopo. • Prestadores de serviço para o escopo. • Mapa de processos. • Referência da Norma ABNT NBR ISO 22301:2020. Aplicabilidade O documento aplica-se a toda a documentação e às atividades do SGCN. Funções e responsabilidades Chefe de continuidade de negócios: deve elaborar o documento. Alta direção e Comitê de Continuidade de Negócios: devem aprovar a declaração de escopo do SGCN. 59 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Termos e definições As definições dos termos e das expressões utilizados no documento constam nos termos e nas definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020 e ABNT NBR ISO 22313:2020. Regras e procedimentos 1 Aspectos gerais 1.1 Sobre a organização Neste item, deve ser descrito tudo que a organização faz, seus processos, suas principais atividades, seus produtos e seu público-alvo. Uma dica é buscar essas informações no site institucional da organização. 1.2 Missão e visão da organização Neste item, devem ser descritos a missão, a visão e os valores da organização. Essas diretrizes devem direcionar os objetivos da CN. 1.3 Sobre o Sistema de Gestão de Continuidade de Negócios (SGCN) Neste item, deve ser descrito o escopo do SGCN. 2 Escopo do Sistema de Gestão de Continuidade de Negócios (SGCN) 2.1 Descrição do escopo do SGCN O SGCN visa à adoção das práticas consagradas internacionalmente, como ABNT NBR ISO 22301:2020, com os objetivos listados a seguir: • Entender as necessidades e implementar uma Política de Continuidade de Negócios. • Definir os objetivos da Gestão de Continuidade de Negócios e como esses objetivos contribuem para o sucesso da organização. • Implementar e operar controles de segurança para gerenciar os incidentes de interrupção e os desastres. • Monitorar e analisar criticamente o desempenho e a eficácia do SGCN. • Implementar melhorias contínuas com base na medição objetiva. 60 Unidade II Algumas das atribuições do SGCN são as listadas a seguir: • Promover o estabelecimento da Política de Continuidade de Negócios válidas para a organização, tendo em conta o estabelecido nas políticas corporativas. • Arquitetar a continuidade de negócios dentro do escopo dos sistemas operativos. • Gerar e manter documentação atualizada relativa à temática da continuidade de negócios. • Analisar a questão de continuidade de negócios em projetos já implementados e em projetos que serão implementados. • Definir e monitorar a implementação de processos referentes à continuidade de negócios. • Elaborar periodicamente relatórios de atividades e submetê-los aos responsáveis e à alta direção. • Implementar os procedimentos de continuidade de negócios e de recuperação que foram estabelecidos na organização. • Apoiar a implementação dos Planos de Recuperação de Desastres e demais Planos de Continuidade de Negócios. • Definir estratégias de continuidade para os equipamentos e os processos no escopo do SGCN. • Prevenir e corrigir possíveis invasões ou ameaças, seguindo a determinação da Política de Continuidade de Negócios. • Garantir a realização de análises de riscos a fim de precaver pontos de vulnerabilidade na rede, realizando ações corretivas e/ou informando aos administradores responsáveis. • Propor requisitos de continuidade de negócios que devem ser observados na aquisição de hardware e software. A organização deve identificar e documentar atividades, funções, serviços, produtos e parcerias da organização, bem como cadeias de suprimentos e o impacto potencial relacionado a um incidente de interrupção ou um desastre. Segue um exemplo de mapeamento de um processo do escopo do SGCN. 2.2 Processo de negócio: vendas As atividades e os serviços envolvidos são os que seguem: • Site da empresa: site institucional em funcionamento na internet 24 horas por dia, com apresentação do mostruário de produtos. 61 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO • Escolha do produto: cliente acessa o site e escolhe qual produto deseja comprar. • Pedido de compra do produto: cliente confirma por meio do site que deseja adquirir aquele produto. • Recepção interna do produto: o setor de administração do site institucional recebe a informação de que um cliente solicitou a compra de um determinado produto. • Setor financeiro: a área responsável pelas cobranças é mobilizada para dar sequência ao pagamento na forma que foi solicitada pelo cliente no ato da compra. • Validação da solicitação de compra: é enviada uma mensagem por e-mail ou SMS ao cliente para informá-lo de que a solicitação de compra foi recebida, o pagamento foi validado pelos controles internos da empresa e em breve será realizada a entrega do produto. • Estoque dos produtos: a empresa busca em seu estoque o produto solicitado pelo cliente. Se a venda ocorre no formato de consignação, entre em contato e envie as informações necessárias para o fornecedor, com o intuito de solicitar a entrega do produto para o cliente. • Expedição: a empresa (ou fornecedor responsável pela entrega do produto) deve realizar a embalagem de acordo com as características do produto, para não sofrer danos no transporte atéa localidade solicitada pelo cliente. • Logística: o produto é entregue pelos Correios. • Pesquisa de satisfação: a empresa entra em contato com o cliente para que seja feita uma pesquisa de satisfação sobre a compra, para melhorar continuamente o seu processo de venda. • Produtos: diversos produtos eletrônicos. 2.3 Inventário de ativos de informação que suportam os processos O tipo de ativo de ambiente físico está sintetizado a seguir: Quadro 5 Item Nome Localização Responsável 01 Sede da empresa RB1 – Edifício Rio Branco, 1 Rio de Janeiro/RJ Ziemlich Verantwortlich 02 Data center RB1 – Edifício Rio Branco, 1 Rio de Janeiro/RJ Ziemlich Verantwortlich 62 Unidade II O tipo de ativo de tecnologia está sintetizado a seguir: Quadro 6 Item Nome Host name IP Resp. Função Sistema operac. 01 Servidor de banco de dados SV9000613 10.10.23.192 Sato Galak Sistema de informação de venda Windows Server 2008 Family 02 Member server VS9000269 10.10.23.11 Sato Galak Sistema de cobrança Windows Server 2008 Family 03 Member server SV9000613 10.10.23.192 Sato Galak Sistema de informação de venda Windows Server 2008 Family O tipo de ativo de pessoas está sintetizado a seguir: Quadro 7 Item Nome Função E-mail Área 01 Osvaldo Permén Diretor osvaldo@gmail.com Diretoria 02 Sorrel Konéng Técnico de TI rel@gmail.com Tecnologia da informação 03 Sorrel Konéng Técnico administrativo rel@gmail.com Administrativo O tipo de ativo de processos está sintetizado a seguir: Quadro 8 Item Processo Descrição Responsável 01 Gestão de cópias de segurança Monitoramento dos logs das bases de dados para verificação de crescimento. Confirmação da realização das cópias de segurança. Realização do backup periódico: full ou diferencial Jeruk Nipis 02 Gestão de incidentes de SI Monitoramento das suspeitas de tentativas de intrusão. Verificação e tratamento das ameaças de instrução e de tráfegos irregulares Sorrel Konéng 03 Gestão de mudanças Mudanças realizadas nos ativos de informação sob a responsabilidade da equipe de Tecnologia da Informação no escopo do SGCN no data center Sorrel Konéng 3 Limitações do escopo Devemos mostrar os processos e as atividades da organização que não estão contempladas no escopo do SGCN. 63 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO 3.1 Contexto interno Devemos mostrar o contexto interno da organização em que o escopo do SGCN está inserido. Assim, o resultado dessa análise deve ser inserido no item. 3.2 Contexto externo Devemos mostrar o contexto externo da organização que o escopo do SGCN está inserido. O resultado dessa análise deve ser inserido no item. 4 Impacto potencial sobre os incidentes de interrupção e impactos potenciais Os incidentes elencados a seguir determinam condição de desastre e são considerados fatores determinantes de interrupções dos processos finalísticos: • Ataques cibernéticos. • Incêndios. • Desastre naturais. • Problemas climáticos. • Perda de informação significativa. • Greve dos funcionários. • Paralisação do sistema de transporte urbano. • Sabotagem, terrorismo e bombas. • Falhas no fornecimento de infraestrutura básica, energia, tecnologias e comunicações. • Ações maliciosas que resultem em dano significativo a um ativo que interrompa os serviços da tecnologia da informação, incluindo ataques cibernéticos. Essas condições de desastre podem acarretar um incidente de interrupção nos processos de negócios críticos da organização. A seguir, temos uma matriz com as condições de desastre e os impactos potenciais que podem ocorrer na concretização do incidente de interrupção na organização: 64 Unidade II Quadro 9 Condições de desastre Impacto potencial na organização Ataques cibernéticos Impactos financeiros, impactos operacionais e impactos na imagem Incêndios Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem Desastres naturais Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem Problemas climáticos Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem Perda de informação significativa Indisponibilidade de sistemas críticos, indisponibilidade nos processos de negócios que utilizam os sistemas críticos, impactos financeiros, impactos operacionais e impactos na imagem Greve dos funcionários Indisponibilidade nos processos de negócios que utilizam os sistemas críticos, impactos financeiros, impactos operacionais e impactos nos clientes Paralisação do sistema de transporte urbano Indisponibilidade nos processos de negócios que utilizam os sistemas críticos, impactos financeiros, impactos operacionais e impactos no cliente Sabotagem, terrorismo, bombas Perda de vida, impactos financeiros, impactos operacionais e impactos na imagem Falha no fornecimento de infraestrutura básica, energia, tecnologias e comunicações Indisponibilidade de sistemas críticos, indisponibilidade nos processos de negócios que utilizam os sistemas críticos, impactos financeiros, impactos operacionais e impactos na imagem Ações maliciosas que resultem em dano significativo a um ativo que interrompa os serviços de tecnologia da informação, incluindo ataques cibernéticos Indisponibilidade de sistemas críticos, indisponibilidade nos processos de negócios que utilizam os sistemas críticos, impactos financeiros, impactos operacionais e impactos na imagem 4.1 Apetite aos riscos da organização O apetite ao risco refere-se a quanto de risco uma organização está disposta a sofrer para atingir os seus objetivos de continuidade de negócios. Se valores financeiros em dinheiro são seu critério de risco, a faixa desses valores que a empresa está disposta a perder em busca de um objetivo reflete o seu apetite ao risco. Na verdade, a área financeira é o melhor exemplo de uso do conceito de apetite ao risco. Por exemplo, a organização está disposta a perder até R$ 100.000,00 caso o risco se concretize; acima disso, ela vai implementar controles para que ele não se concretize. Nessa metodologia, utiliza-se um critério de apetite ao risco qualitativo, também muito eficiente. Para isso, os níveis de cada risco identificados e analisados são classificados em muito baixo, baixo, médio, alto e muito alto. Os critérios de apetite ao risco podem ser definidos determinando quais são os níveis de riscos aceitáveis e quais níveis devem ser obrigatoriamente observados na fase de tratamento de riscos. 65 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Segundo análises em diversos tipos de organizações, pode-se dizer que, no Brasil, a maioria delas opta pelo apetite ao risco de aceitar todos os níveis de riscos: muito baixo, baixo e médio, e, consequentemente, todos os riscos altos e muitos altos devem ser tratados. Nível de risco: • 1 Muito baixo • 2 Baixo • 3 Médio • 4 Alto • 5 Muito alto 5 Partes interessadas As partes interessadas que sejam relevantes para o SGCN e os seus requisitos estão determinados nessa seção. O chefe de continuidade de negócios é o responsável por identificar: • todas as pessoas ou entidades que podem afetar ou ser afetadas pelo SGCN; • todas as obrigações legais, regulamentares, contratuais e outras obrigações relevantes, sempre que houver mudanças significativas na organização e durante o ciclo de melhoria contínua no SGCN. Segue um exemplo de descrição de partes interessadas: Quadro 10 Parte interessada Interesse Requisitos legais e regulamentares / Obrigações contratuais Cidadãos Quais os interesses dos cidadãos no escopo do SGCN? Descreva os interesses aqui Existe alguma lei, regulamentação ou contrato que rege a forma de trabalhar da organização com os cidadãos? Insira a lei nesta coluna Clientes Quais os interesses dos clientes no escopo do SGCN? Descreva os interesses aqui Existe alguma lei, regulamentação ou contrato que rege a forma de trabalhar da organização com os clientes? Insira a lei nesta coluna 66 Unidade IIParte interessada Interesse Requisitos legais e regulamentares / Obrigações contratuais Funcionários Quais os interesses dos funcionários no escopo do SGCN? Descreva os interesses aqui Existe alguma lei, regulamentação ou contrato que rege a forma de trabalhar da organização com os funcionários? Insira a lei nesta coluna Acionistas Quais os interesses dos acionistas no escopo o SGCN? Descreva os interesses aqui Existe alguma lei, regulamentação ou contrato que rege a forma de trabalhar da organização com os acionistas? Insira a lei nesta coluna Respondendo às perguntas anteriores, é possível elaborar, de forma completa, uma relação dos interesses de todas as partes interessadas. 6 Interfaces internas Devemos definir as áreas e os setores internos de uma organização aos quais o escopo se destina. Neste item, descrevemos essas informações com o uso do organograma da organização. 7 Fornecedores e prestadores de serviço para o escopo do SGCN As empresas descritas no quadro a seguir são as fornecedoras e prestadoras de serviço que atuam no apoio do SGCN. Quadro 11 – Endereços dos fornecedores Empresa/tipo Endereço Contato/cargo Responsável Base/ Manutenção de refrigeração Centro Logístico Talatona Gleba GU03 – Zona CCb1, Armazém C1 – Luanda, Angola Palmipuud Beça Diretor de Tecnologia da Informação Fone: 9249155560 calos.beca@novabase.com André Patrício Gestor de Infraestrutura e Sistemas Telefônicos 22 6430-1822 Sistemas/ Manutenção de sistemas Avenida Chegue Vara n. 138, Maculusso – Luanda, Angola Gerson Marado Diretor de Tecnologia da Informação Fone: 9249155560 filipe.gerson@sistec.com Manuel Marcelino Gestor de Infraestrutura e Sistemas Telefônicos 22 6430-1822 Referência normativa ABNT NBR ISO 22301:2020 – Tópico 4.1 – Entendendo a organização e seu contexto, 4.2 – Entendendo as necessidades e as expectativas das partes interessadas, 4.3 – Determinando o escopo do sistema de gestão da Continuidade de Negócios e 4.4 – Sistemas de Gerenciamento de Continuidade dos Negócios. Anexos Não aplicável. 67 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO 3.3.2 Fase 2: levantamento de dados Na etapa de levantamento de dados (fase 2), fazemos reuniões e inspeções físicas em cada área e em cada processo. Nessa etapa, levantamos possíveis ameaças, situações de vulnerabilidades e seus respectivos impactos, componentes, eventos e demais variáveis que influenciam na continuidade do negócio. O resultado de tudo isso é expresso em um relatório de critérios. O meio mais interessante para conseguirmos dados sobre os riscos é realizarmos uma análise de riscos (risk assessment). A análise de risco é tão importante que a necessidade de ela ser feita é encontrada na ABNT NBR ISO 27000:2019 e na ABNT NBR ISO 22301:2020. A análise de riscos é uma avaliação de potenciais riscos para o negócio. A análise deve começar com o levantamento de todo inventário de ativos envolvidos no processo em estudo, o que chamamos de documento de entrada da etapa. Observação A norma ABNT NBR ISO 31000:2018 – Gerenciamento de Riscos Corporativos descreve com mais detalhes a etapa de levantamento de dados. Logo, grande parte do relatório de critérios é constituído pelo relatório de tratamento de riscos, composto por todas as informações e todos os documentos salientados na gestão de riscos, conforme Norma ABNT NBR ISO 31000:2018. A seguir, apresentamos um exemplo de modelo de documento de gestão de riscos, adaptado de Manoel (2019), e que, conforme foi salientado, é a peça fundamental do desenvolvimento de levantamento de dados. Exemplo de aplicação Modelo de documento de gestão de riscos Quadro 12 Empresa H. V. Aidar Certo Tipo: Plano Código do documento: PL-SGCN-010 Procedimento documentado de gestão de riscos Autor: Nome da pessoa ou do grupo Revisado em: 10/01/2019 Aprovador: Nome da pessoa ou do grupo Versão: 1.00 Aprovação: 10/02/2019 68 Unidade II Finalidade Definir responsabilidades, diretrizes e procedimento para o processo de avaliação de riscos. Aplicabilidade Aplica-se a todas as pessoas envolvidas nos processos de trabalho do SGCN. Funções e responsabilidades • Funcionários, prestadores de serviço e fornecedores: devem participar das atividades de processo de avaliação de riscos, quando solicitados. • Responsáveis pelas áreas ou setores na organização: devem participar das atividades de processo de avaliação de riscos, quando solicitados. • Chefe de continuidade de negócios: deve elaborar, revisar e atualizar o documento e executar as atividades necessárias do processo de avaliação de riscos. • Alta direção e Comitê de Continuidade de Negócios: devem participar das entrevistas de processo de avaliação de riscos, quando solicitados, decidir sobre eventuais assuntos divergentes resultantes do processo de avaliação de riscos e aprovar o relatório de tratamento de riscos. Termos e definições As definições dos termos e das expressões utilizadas no documento constam nos termos e nas definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020, ABNT NBR ISO 22313:2020 e ABNT NBR ISO 31000:2018. Regras e procedimentos 1 Aspectos gerais O objetivo da avaliação de riscos é identificar de forma sistemática quais incidentes de continuidade de negócios podem ocorrer em sua organização e, então, através do processo de tratamento de riscos, preparar a organização de forma a minimizar os danos de tais incidentes. É de suma importância entender que a avaliação e o tratamento de riscos precisam ser realizados em sequência, seguindo a ordem proposta na Norma ABNT NBR ISO 31000:2018. Você não pode implementar controles de segurança nos ativos de informação que suportam os processos a menos que você saiba quais deles são os mais apropriados, nem pode saber quais salvaguardas são mais apropriadas antes de identificar quais são as vulnerabilidades desses ativos. 69 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO 2 Metodologia do processo de avaliação de riscos O processo de avaliação de riscos consiste na identificação e na avaliação dos fatores de risco presentes no ambiente organizacional de forma a antecipar possíveis incidentes de continuidade de negócios, permitindo uma visão do impacto negativo causado às estratégias da organização e fornecendo conhecimento para que controles eficazes sejam implementados. Para minimizar o risco, a execução de processo de avaliação de riscos é vital para apoiar a priorização das ações. No caso da continuidade de negócios, avaliamos: • riscos (aspectos negativos como perdas financeiras, prejuízos na imagem da organização e perdas de vidas); • oportunidades (aspectos positivos como ganhos para a organização com a realização de treinamentos e aumentos na disponibilidade dos serviços prestados aos clientes). Portanto, devemos avaliar sempre os dois casos: riscos e oportunidades. No caso da gestão de riscos, a melhor metodologia a ser utilizada é a descrita na Norma ABNT NBR ISO 3100:2018, que orienta a identificação e o tratamento de riscos negativos (ameaças) e de riscos positivos (oportunidades). Para implementar o processo de avaliação de riscos no SGCN, utilizamos uma boa prática de gestão de riscos, composta pelas seguintes atividades na ABNT NBR ISO 31000:2018: • identificação de riscos; • análise de riscos; • avaliação de riscos. A metodologia de gestão de riscos é composta pelos seguintes subprocessos: a) escopo, contexto e critério; b) avaliação de riscos; c) tratamento de riscos; d) registros e relato; 70 Unidade II e) comunicação de riscos; f) monitoramento e análise crítica. Vejamos com detalhes cada um deles: a) Subprocesso escopo, contexto e critério O contexto é um conjunto de circunstâncias que se relacionam de alguma forma com um determinado acontecimento. É a situação geral ou o ambiente a que está sendo referido determinado assunto; neste caso, a análise e a avaliação de riscos. A contextualização é a atividadede mapear todo o ambiente que envolve o evento sob análise. Esse subprocesso é composto por três etapas: • identificação das informações sobre o escopo, o contexto interno e o externo; • definição dos critérios da gestão de riscos; • mapeamento dos ativos de informação. O escopo é definido no documento de declaração de escopo do SGCN e no relatório de análise de impacto no negócio. A entrada refere-se a informações relevantes sobre o ambiente (processos, serviços associados aos processos e ativos relacionados aos serviços). E a saída refere-se à identificação do escopo, do contexto e dos critérios. Nas atividades que envolvem a gestão de riscos, o estabelecimento do contexto é a parte inicial e tem como objetivo permitir o conhecimento do ambiente da organização. A contextualização é a atividade de mapeamento de todo o ambiente que envolve o evento em análise. Devemos identificar o contexto interno e externo, os critérios da gestão de riscos e os ativos de informação. Se esses itens já tiverem sido descritos na declaração de escopo do SGCN, basta retirá-los. No que tange à etapa de definição de critérios da gestão de riscos, é importante ressaltarmos que os critérios fazem parte da metodologia de gestão de riscos e são a forma e o valor (peso) com que os riscos e os impactos são valorados. Falamos sobre esses critérios no subprocesso de analisar e avaliar riscos, lembrando que os critérios são requisitos obrigatórios do SGCN. Quanto à etapa de identificação dos ativos, devemos fazê-la em nível de detalhamento que permita o fornecimento de informações adequadas e suficientes para a análise e avaliação de riscos. Devemos listar os ativos de informação considerados críticos pelo contratante e os componentes organizacionais que esse ativo suporta. 71 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO A entrada dessa atividade é a análise de impacto no negócio, e sua saída é a definição do escopo de quais ativos devem ser analisados na gestão de riscos. b) Subprocesso avaliação de riscos Devemos identificar as fontes de risco, as áreas de impactos, os eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade da etapa é gerar uma lista abrangente de riscos com base nesses eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos de continuidade de negócios. Devemos aplicar ferramentas e técnicas de identificação de riscos que sejam adequadas aos riscos enfrentados. Informações pertinentes e atualizadas são importantes na identificação de riscos. É interessante incluirmos informações adequadas sobre os fatos por trás dos acontecimentos. É preciso detectar todas as ameaças que podem causar impacto para a organização, pois são essas ameaças que podem explorar as vulnerabilidades e causar prejuízo para os processos de negócio no escopo do SGCN. Uma ameaça tem o potencial de comprometer os ativos de informação e, consequentemente, os processos de negócio. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou ser intencionais. Também devemos constatar todas as fontes das ameaças, tanto acidentais quanto intencionais. Uma ameaça pode surgir de dentro ou fora da organização. Algumas ameaças podem afetar mais de um ativo de informação. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos são afetados. É necessário identificar as vulnerabilidades que podem ser exploradas por ameaças para comprometer os ativos da informação e os processos de negócio. Vulnerabilidades podem ser identificadas nas seguintes áreas: organização, pessoas, processos, procedimentos, rotinas de gestão de recursos humanos, ambiente físico, configuração do sistema de informação, hardware, software, equipamentos de comunicação etc. É preciso, ainda, verificar os controles existentes para evitar custos e trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, enquanto os controles existentes são identificados, controles que não funcionam como esperado podem provocar o surgimento de vulnerabilidades. O subprocesso avaliação de riscos também visa produzir os dados que auxiliarão na decisão sobre quais riscos serão tratados e quais formas de tratamento serão empregadas. Também se subdivide em três etapas, a saber: • identificação dos riscos; • análise dos riscos; • avaliação do riscos. 72 Unidade II A entrada é a identificação de escopo, contexto e critérios, e a saída é o relatório de avaliação de riscos. Para analisarmos os riscos, utilizamos a metodologia da empresa Módulo®, que emprega um método de análise de riscos qualitativa. Nesse método, calculamos um índice (rating) denominado PSR (probabilidade, severidade e relevância). Esse índice define o risco para cada controle ausente encontrado na análise, conforme a fórmula a seguir: Risco = Probabilidade x Impacto Segundo a metodologia Módulo GRC Metaframework, o valor do impacto no negócio é atendido pelas duas variáveis S e R (severidade e relevância, respectivamente). Assim, o risco é calculado por: Risco = Probabilidade x Severidade x Relevância R = P x S x R Essa metodologia considera que a ausência de controle representa vulnerabilidades associadas ao ativo. Caso não exista vulnerabilidade associada à falta de um controle específico em algum ambiente, então o controle deve ser considerado como Não aplicável (N/A). Em conformidade com a Norma ABNT ISO GUIA 73:2009, que define risco como “a combinação da probabilidade de um evento e suas consequência”, consideramos, para cálculo do risco, um índice (PSR) que represente a estimativa desses fatores. O valor de PSR representa o grau de risco associado à ausência de um controle, sendo calculado pela equação já apresentada, em que os fatores da probabilidade e severidade são pontuados durante as análises técnicas. A relevância é pontuada considerando-se a visão do negócio em termos da relevância do ativo para a organização. Assim, o risco associado a cada controle ausente é calculado multiplicando-se os três fatores básicos (P, S e R). O resultado é um valor numérico entre 1 e 125, conforme mostrado a seguir: Quadro 13 – Nível de risco e valores do PSR Nível de risco Valores de PSR Muito baixo 1, 2, 3, 4, 5, 6 Baixo 8, 9, 10, 12, 15, 16 Médio 18, 20, 24, 25, 27, 30 Alto 32, 36, 40, 45, 48, 50 Muito alto 60, 64, 75, 80, 100, 125 Em suma, o PSR representa o índice para o cálculo do risco. 73 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Apesar de o risco técnico (binômio probabilidade e severidade) da ausência do controle ser importante para os gestores de tecnologia para a análise de riscos e, consequentemente, para a segurança da informação e a continuidade de negócios, o que importa é considerar o risco ao negócio como fator de priorização de ações (fator relevância do ativo). A matriz a seguir é uma referência para estabelecer uma pontuação adequada para cada um dos fatores do PSR. É importante frisar que essa matriz serve como instrumento de sintonia do senso comum, de forma a substituir avaliações subjetivas por critérios mais objetivos para cada um dos fatores do PSR, transformando-os em valores de 1 a 5. Quadro 14 – Critérios do PSR Probabilidade A ocorrência de a vulnerabilidade ser explorada pelas ameaças Severidade A consequência de a vulnerabilidade ser explorada pelas ameaças Relevância O comprometimento da segurança dos ativos 5 É quase certa (> 95%) Afetará extremamente a segurança Pode afetar toda a organização Muito alta 4 É muito provável (65% ≤ P < 95%) Afetará muito gravemente a segurança Pode afetar um ou mais processos de negócios da organização e os prejuízos serão muito altos Alta 3 É provável (35% ≤ P < 65%) Afetará gravemente a segurança Pode afetar uma parte pequena e localizada do negócio da organização e os prejuízos serão baixos Média 2 É improvável (5% ≤ P < 35%) Afetará pouco a segurança Pode afetaruma parte pequena e localizada do negócio da organização e os prejuízos serão baixos Baixa 1 É muito improvável ( < 5%) Quase não afetará a segurança Pode afetar uma parte muito pequena do negócio da organização e os prejuízos serão desprezíveis Muito baixa A seguir, descrevemos alguns exemplos de riscos identificados e analisados. • Risco identificado: ausência de um processo de gestão de cópias de segurança para os ativos no escopo do SGCN, o que pode ocasionar parada nos sistemas. • Ameaça: falha técnica de hardware ou de software. • Vulnerabilidade: não há cópias de segurança. • Controle: não há nenhum controle aplicado. 74 Unidade II Análise de riscos = Probabilidade x Severidade x Relevância do ativo A probabilidade de ocorrer um incidente e não ter um backup para corrigir é média (3), ou seja, é provável que aconteça. Caso isso aconteça, a severidade é média (3), pois afetará gravemente a segurança da organização. Nesse contexto, a relevância do ativo para essa organização é alta (4), pois pode afetar um ou mais processos de negócios da organização, com elevados prejuízos. Vamos calcular o risco: Risco = R = P x S x R = 3 x 3 x 4 = 36. De acordo com a tabela de nível de risco, tal valor de risco é considerado alto. A seguir, temos o desenho de uma figura gráfica da metodologia de análise de riscos. Risco Probabilidade (1-5) Relevância (1-5) Severidade (1-5) - Probabilidade - Severidade - Relevância Figura 11 Assim, sabemos se o nível de risco é muito baixo, baixo, médio, alto e muito alto. Na próxima etapa, precisamos avaliar os riscos que foram analisados. A avaliação de riscos determina se os riscos são aceitáveis ou se requerem algum tipo de tratamento. Fazemos essa avaliação comparando os resultados da análise de riscos com os critérios estabelecidos na definição do contexto do SGCN. Devemos relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os critérios estabelecidos na definição de contexto. A Norma ABNT NBR ISO 22301:2020, em seu requisito mandatório no item 4 – Contexto da organização, diz que a organização deve determinar o seu apetite aos riscos e estabelecer os seus critérios de riscos levando em conta o apetite aos riscos. 75 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Alguns critérios foram definidos na etapa de análise de risco, como: • o modo de definição da probabilidade; • a maneira de análise da evolução no tempo da probabilidade e/ou consequência/severidade; • a forma de determinação do nível de risco. Um critério mandatório para a implementação do SGCN é definir o grau de apetite aos riscos da organização. O apetite ao risco refere-se a quanto de risco uma organização tem disposição para sofrer a fim de atingir os seus objetivos de continuidade de negócios. Se valores financeiros em dinheiro são seu critério de risco, a faixa desses valores que você está disposto a perder em busca de um objetivo reflete o seu apetite ao risco. Na verdade, a área financeira é o melhor exemplo de uso do conceito de apetite ao risco. Por exemplo, a organização está disposta a perder até R$ 100.000,00 caso o risco se concretize; acima disso, ela vai implementar controles para que esse risco não se concretize. Nessa metodologia, utilizamos um critério de apetite ao risco qualitativo. Para isso, determinamos os níveis de cada risco identificado e analisado em muito baixo, baixo, médio, alto e muito alto. Os critérios de apetite ao risco podem ser definidos com a determinação dos níveis de riscos aceitáveis e dos níveis de riscos que devem obrigatoriamente ser tratados na fase de tratamento de riscos. Por experiência, no Brasil, a maioria das organizações opta por um apetite ao risco de aceitar todos os riscos de níveis muito baixos, baixo e médio. A saída dessa etapa da metodologia de gestão de riscos é o relatório de análise e avaliação de riscos. c) Subprocesso tratamento de riscos Esse subprocesso faz referência à cláusula 8.3.3 – Proteção e mitigação da ABNT NBR ISO 22301:2020 e visa relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os critérios estabelecidos no subprocesso avaliação de riscos. Ressaltamos que se recomenda a implantação dos controles de segurança da informação de acordo com as melhores práticas de gestão de mudanças para que não aconteçam possíveis incidentes na implantação dos controles de SI. O subprocesso tratamento de riscos é composto de quatro etapas: 1 – determinação da forma de tratamento dos riscos; 2 – obtenção do parecer do proprietário do ativo de informação; 76 Unidade II 3 – gestão de mudanças; 4 – identificação de riscos residuais. A entrada é o relatório de avaliação de riscos, e a saída é o plano de tratamento de riscos. Em relação à determinação da forma de tratamento dos riscos, para cada risco identificado, é necessário informar a respectiva ação de tratamento. Devemos determinar as opções de tratamento dos riscos, considerando as opções de mitigar, evitar, transferir ou aceitar o risco e observando os itens a seguir: • eficácia dos controles de segurança de informação já existentes; • restrições organizacionais, técnicas e estruturais de cada organização; • requisitos legais; • análise custo-benefício. A seguir, descrevemos as definições das opções de tratamento de riscos: • Para riscos negativos ou ameaças: — Mitigar: implementar sistemas de controle para reduzir a probabilidade e o impacto negativo, ou ambos, associados a um risco. — Evitar: deixar de realizar a atividade a fim de se envolver ou agir de forma a se retirar de uma situação de risco. — Aceitar: realizar a atividade assumindo as responsabilidades caso ocorra o risco identificado. — Transferir: realizar a atividade compartilhando com outra entidade o ônus associado a um risco. • Para riscos positivos ou oportunidades: — Melhorar: aumentar a probabilidade de que o risco (oportunidade) ocorra ou aumentar seu benefício caso venha acontecer. É recomendado identificar e maximizar os principais impulsionadores de impacto positivo para contribuir na probabilidade da ocorrência desse risco. — Explorar: eliminar a incerteza associada ao risco (oportunidade) e garantir que a oportunidade realmente aconteça, garantindo assim que a oportunidade seja concretizada. — Compartilhar: compartilhar o risco (oportunidade) com uma entidade ou pessoa que tenha mais capacidade de desenvolver a oportunidade em benefício do projeto da organização. 77 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO — Aceitar o risco: aceitar o risco caso não seja possível aplicar nenhuma das outras opções de tratamento de riscos positivos e a organização deseje que a oportunidade se concretize, mas não tem investimento para aplicar esforços para que ela aconteça. Assim, não é implementada nenhuma opção de tratamento. Recomendamos a elaboração de um Plano de Tratamento de Riscos para o registro e a aprovação do proprietário de riscos de todas as opções de tratamento que foram aprovadas e que serão e foram implementadas, com a apresentação das respostas aos questionamentos expostos a seguir: • O quê? Implementar o controle. • PSR? Calcular o valor do risco (nível de risco). • Por quê? Apontar a importância da implementação do controle. • Como? Descrever como implementar o controle. • Quem? Indicar o responsável pela implementação do controle. • Quando? Indicar o prazo para a implementação do controle. • Onde? Indicar o local para a implementação do controle. • Quanto custa? Indicar o valor, em reais ou em HH (homem x hora), para a implementação do controle (opcional). • Justificativa? Apontar uma explicação para a não implementação do controle. O proprietário do risco é uma pessoa (ou uma entidade) com a responsabilidade e a autoridade para gerenciar um risco. Ele tem autoridade para aprovar a opção de tratamento adequado no ativo de informação em que foi identificado o risco. Essa aprovação deve ser formalizada em documentoe registrada na SGCN. Os proprietários dos riscos devem assinar um termo de aceite para os riscos que forem aceitos. Toda e qualquer implementação de controle no SGCN deve ser realizada por intermédio de um processo de gestão de mudanças. O objetivo desse processo é minimizar o impacto de eventuais incidentes que possam surgir durante a implementação do controle. Dada a complexidade que as mudanças podem alcançar, um processo para gerenciá-las se faz necessário, pois define o fluxo a ser seguido para que todas as solicitações de mudanças sejam analisadas, ordenadas, priorizadas, planejadas e implementadas de forma segura, sem impacto nos processos de negócio da organização. 78 Unidade II Após a implementação das opções de tratamento, é necessário monitorar o risco residual, que, por definição, é o risco remanescente após o tratamento do risco. Mesmo após a implementação das ações de controle, ainda é possível que exista algum risco residual. A saída dessa etapa da metodologia de gestão de riscos é o plano de tratamento de riscos, o termo de aceite de riscos e o monitoramento dos riscos residuais. d) Subprocesso registro e relato Esse subprocesso visa documentar e relatar todos os subprocessos por meio de mecanismos apropriados. Se for conveniente, podemos utilizar as orientações de informações documentadas para documentar tais relatos. O registro e o relato objetivam o que segue. • Comunicar as atividades e os resultados de gestão de riscos para toda a organização. • Fornecer informações que sirvam de referência para a tomada de decisão. • Melhorar as atividades de gestão de riscos. • Auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidades e com responsabilização por atividades de gestão de riscos. As entradas são todos os documentos de gestão de riscos, e as saídas são os registros do processo de gestão de riscos. e) Subprocesso comunicação de riscos Esse subprocesso visa identificar as partes interessadas do processo de gestão de riscos, incluindo papéis e responsabilidades, sendo que os riscos precisam ser comunicados para os seus responsáveis. O subprocesso comunicação de riscos é composto de duas etapas: • identificação das partes interessadas; • efetiva comunicação de riscos. As entradas são o relatório de avaliação de riscos, o plano de tratamento de riscos e o termo de aceite de riscos, e a saída é a comunicação dos riscos para as partes interessadas. As partes interessadas foram identificadas anteriormente no documento de declaração de escopo do SGCN. Caso haja uma nova parte interessada no processo de gestão de riscos, ela também deve ser identificada e informada sobre os riscos sob a sua responsabilidade. 79 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO A comunicação do risco é uma troca interativa, documentada formalmente, contínua e intencional de informações, conhecimentos e percepções sobre como os riscos devem ser gerenciados. A comunicação é realizada entre a equipe envolvida na gestão de riscos e as partes interessadas nas decisões dos processos de negócio que estão no contexto da análise e avaliação de riscos. Por isso, as partes interessadas devem ser identificadas e documentadas. No que tange à comunicação dos riscos às partes interessadas, essa etapa deve abordar com o máximo de detalhes os riscos encontrados, informando: • a existência de ameaça, vulnerabilidade e risco; • a natureza e a forma de ação; • a estimativa de probabilidade; • a severidade e as consequências possíveis; • o tratamento e a aceitação de riscos. A saída dessa etapa da metodologia de gestão de riscos é a comunicação dos riscos para as partes interessadas. f) Subprocesso monitoramento e análise crítica Esse subprocesso é intrínseco a todo processo: a retroalimentação é necessária para corrigir e aperfeiçoar o próprio processo. Assim, tal subprocesso permite detectar possíveis falhas nos resultados, monitorar os riscos e os controles e verificar a eficácia do processo de gestão de riscos. O subprocesso monitoramento e análise crítica divide-se nas seguintes etapas: • análise e consolidação das informações sobre riscos; • identificação de oportunidades de melhoria; • monitoramento de riscos residuais. As entradas são a identificação de escopo, contexto e critérios, o relatório de avaliação de riscos, o plano de tratamento de riscos e o termo de aceite de riscos, e a saída é a melhoria contínua do processo de gestão de riscos. Após o tratamento dos riscos, é necessário consolidar informações sobre o processo e identificar oportunidades de melhora. 80 Unidade II Na etapa de análise e consolidação das informações sobre os riscos, devemos identificar e quantificar os indicadores do processo no documento de relatório executivo e análise. Na etapa de identificação de oportunidades de melhoria, devemos analisar as informações consolidadas do processo por meio dos seus indicadores e identificar oportunidades de melhoria. Na etapa de monitoramento de riscos residuais, os riscos residuais e seus fatores precisam ser continuamente verificados. A saída dessa etapa da metodologia é a melhoria contínua do processo de gestão de riscos. Referência normativa ABNT NBR ISO 22301:2020 – Cláusulas 8.2.3 Avaliação de Riscos. Anexos Não aplicável. Saiba mais Para saber mais sobre gestão de riscos, leia a indicação a seguir: DE CICCO, F. Gestão de riscos: diretrizes para implantação da ISO 31000:2018. São Paulo: Risk Tecnologia, 2018. Para saber mais sobre o software Risk Manager da empresa Modulo®, visite o site: Disponível em: https:modulo.com.br. Acesso em: 23 abr. 2021. 3.3.3 Fase 3: análise do impacto nos negócios (BIA) A análise do impacto nos negócios ou BIA (acrônimo do inglês business impact analysis) tem o propósito de avaliar os recursos e os ativos necessários para enfrentar as supostas ameaças. Isso permite a previsão orçamentária, a redução do impacto e a minimização do tempo de recuperação. Pela análise de impacto nos negócios, podemos entender quais são os processos mais sensíveis do negócio, quais são as ameaças que mais afetam a empresa e qual é o prazo requerido para a sua recuperação. 81 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Nessa etapa, são aplicados alguns questionários cujos resultados são os relatórios de inter-relacionamento e o relatório de análise de impacto nos negócios, instrumento que permite a avaliação dos custos do impacto nos negócios e do custo da sua recuperação. Para se ter uma análise de impacto do negócio bem-sucedida, há dois caminhos que podem ser percorridos: a execução de entrevistas e a realização de workshops com as pessoas responsáveis. Os resultados obtidos com as entrevistas tendem a ser mais precisos, mas o dispêndio de tempo, geralmente, é maior do que aquele que ocorre nos workshops. O relatório final, que é a compilação das informações obtidas pelos questionários, é o que permite fazer a análise de impacto. Esse documento deve apresentar pelo menos o que se expõe a seguir: • Compilação dos processos e dos sistemas mapeados. • Indicação dos prazos de tolerância à interrupção. • Indicação dos impactos causados pela interrupção. • Definição dos critérios de prioridade (custo x impacto). • Determinação das pessoas responsáveis e dos substitutos, com os respectivos contatos. • Indicação do RTO (recovery time objective ou objetivo do tempo de recuperação). • Indicação do RPO (recovery point objective ou objetivo do ponto de recuperação), quando aplicável. Observação A análise do impacto que um evento pode gerar no negócio não deve ser vista apenas no âmbito da superação de situações de crise. É sempre interessante fazer esse tipo de análise para mostrarmos o impacto de ações de melhoria nos produtos e processos. 3.3.3.1 Fase 3: informações importantes a serem analisadas em uma BIA Algumas informações contidas em um relatório de análise de impacto são de vital importância para a perenidadede uma empresa. Essas informações são as que seguem. a) Tempo objetivado de recuperação ou RTO (recovery time objective) A análise de impacto deve ser feita considerando o impacto na operação da empresa, caso determinado processo fique inativo. Por essa análise, são estabelecidos os quatro níveis de impacto indicados a seguir: 82 Unidade II • Impacto marginal: baixo dano ao negócio. • Impacto aceitável: prejuízo administrável. • Impacto alto: coloca o negócio em risco. • Impacto catastrófico: risco de falência. Na tabela a seguir, podemos ver o modelo de uma planilha com questionamentos qualitativos e quantitativos e os respectivos níveis de impacto (os valores e os questionamentos são exemplos fictícios). Tabela 1 – Questionário de levantamento do impacto do negócio Questões qualitativas 2 horas 4 horas 8 horas 24 horas 48 horas 1 semana 01 – Como seus clientes reagirão a uma interrupção? 2 2 3 3 4 4 02 – Qual será o impacto para outras atividades? 1 2 2 3 3 4 03 – Como a interrupção irá influenciar a perda de reputação? 1 2 2 3 4 4 04 – Quão difícil será recuperar o trabalho perdido (backlog)? 1 1 2 2 3 3 Questões quantitativas – em US$ 05 – Qual será o custo das penalidades legais e contratuais? 0 1.000 2.000 30.000 60.000 210.000 06 – Quais serão os custos com reparos? 0 0 5.000 20.000 25.000 40.000 07 – Quanto de receita será perdida? 0 0 0 10.000 20.000 70.000 Fonte: Kosutic (2020). As perguntas devem sempre explorar os dois conjuntos de abordagens (qualitativa e quantitativa). O objetivo é entender o impacto financeiro, os prejuízos quanto à imagem e demais problemas advindos do incidente. Levantamento ponto mais próximo de recuperação ou RPO (recovery point objective) Nessa etapa, os entrevistados precisam listar e informar, por exemplo, todas as suas bases de dados, todos os arquivos, aplicativos e caixas de e-mails e definir um limite aceitável para o caso de perdê-los. Apesar de normalmente o resultado ser indicado em unidade de tempo, ele também pode ser apresentado em número de transações, registros ou espaços. Na tabela a seguir, temos um exemplo de como as respostas para o questionário do BIA podem parecer para o ponto de recuperação: 83 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Tabela 2 – Questionário de levantamento do objetivo para ponto de recuperação (perda máxima de dados) Questões qualitativas 2 horas 4 horas 8 horas 24 horas 48 horas 1 semana Software #1 1 1 2 3 3 4 Software #2 2 2 3 4 4 4 Base de dados XYZ 4 4 4 4 4 4 Documentação XYZ em papel 1 1 1 2 2 3 Fonte: Kosutic (2020). b) Objetivos mínimos de continuidade do negócio ou MBCO (minimum business continuity objectives) Nessa etapa, há a necessidade de especificarmos o nível de capacidade mínima aceitável para determinada atividade. Devemos levar em conta os aspectos de sazonalidade de demanda (horas ou dias). Como exemplo, temos que, em certa instituição financeira, pode haver uma demanda de transações perto do Natal muito maior do que no restante do ano. c) Recursos necessários para execução do Plano de Continuidade do Negócio Com as informações levantadas nas outras etapas, principalmente na fase do MCBO, podemos especificar os recursos físicos, financeiros, lógicos e de pessoal necessários para a recuperação das atividades. Todos os recursos devem estar discriminados com seus respectivos valores. d) Dependências e fornecedores externos O que não é executado por determinado departamento ou processo deve ser descrito como dependências internas ou de fornecedores externos. A dependência de outras atividades é considerada quando tais atividades forem internas à organização (como exemplo, o departamento jurídico depende do departamento de TI para tomar uma decisão importante e vital ao processo). A dependência de fornecedor externo ou parceiro é aquela em que as atividades dependem de um fornecedor fora da organização (como exemplo, a internet é fornecida por uma operadora e, sem esse serviço, o departamento fica impossibilitado de tomar algumas ações). A figura a seguir mostra a relação entre as atividades e suas dependências internas e de fornecedores externos. 84 Unidade II AtividadeAtividade Atividade Atividade Atividade Atividade Atividades de apoio Atividades de apoio Atividades de apoio Produto/serviço Produto/serviço Ativos e recursos Produto/serviço Propósito da organização Dependência e atividades de apoio OrganizaçãoFornecedores e parceiros terceirizados Contexto interno Figura 12 – Compreendendo a organização Nessa fase, a análise do impacto do negócio é a fonte de informações que permite elaborar uma estratégia sólida e eficaz que fará parte do PCN. Na figura a seguir, podemos visualizar as dependências em que essas informações são fundamentais, vitais para o sucesso. RPO Ponto mais próximo RTO Tempo para recuperação do ambiente MTD Tempo máximo tolerável de inatividade (limiar do prejuízo para a empresa) MBCO Quanto a empresa precisa retornar da sua capacidade de entrega D - 1 D0 Incidente D + 2 D + 5 Tempo Figura 13 – Visão estratégica dos itens da análise de impacto do negócio em um processo de recuperação de incidentes A seguir, apresentamos um exemplo de modelo de documento de análise de impacto no negócio, adaptado de Manoel (2019). 85 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO Exemplo de aplicação Modelo de documento de análise de impacto no negócio Quadro 15 Empresa H. V. Aidar Certo Tipo: Plano Código do documento: PL-SGCN-009 Procedimento Documentado de Análise de Impacto no Negócio Autor: Nome da pessoa ou do grupo Revisado em: 10/01/2019 Aprovador: Nome da pessoa ou do grupo Versão: 1.00 Aprovação: 10/02/2019 Finalidade Definir responsabilidades, diretrizes e procedimentos para a execução da análise de impacto no negócio. Aplicabilidade Aplica-se a todas as pessoas envolvidas nos processos de trabalho do SGCN. Funções e responsabilidades • Funcionários, prestadores de serviços e fornecedores: devem participar das atividades de análise de impacto no negócio, quando solicitados. • Responsáveis pelas áreas ou pelos setores na organização: devem participar das atividades de análise de impacto no negócio, quando solicitados. • Chefe de continuidade de negócios: deve elaborar, revisar e atualizar o documento e executar as atividades necessárias de análise de impacto no negócio. • Alta direção e Comitê de Continuidade de Negócios: devem participar das entrevistas de análise de impacto no negócio, quando solicitados, decidir sobre eventuais assuntos divergentes resultantes da análise de impacto no negócio e aprovar o relatório de análise de impacto no negócio. Termos e definições As definições dos termos e das expressões utilizados no documento constam nos termos e nas definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020 e ABNT NBR ISO 22313:2020. 86 Unidade II Regras e procedimentos 1 Aspectos gerais A análise de impacto no negócio avalia os processos de negócios e os efeitos que uma interrupção de negócio pode ter sobre eles. O resultado dessa análise permite que seja feita uma avaliação de antemão dos recursos necessários para mitigar as supostas ameaças. Também permite a redução da probabilidade de ocorrência de impactos (perdas) em uma situação de emergência, o que minimiza o tempo demandado pela recuperação dos processos e do negócio. O chefe de continuidade de negócios é responsável pela coordenação e pela execução da análise de impacto no negócio. O sucesso de todo o SGCN depende dessa análise. Se ela for malfeita, as tomadas de decisão serão executadas sem que haja favorecimento com relação aos benefícios da gestão de continuidade de negócios (GCN), que é a proteção daquilo que é mais importante da organização. A análise impacto no negócio deve identificar os processos críticos, considerando todos os processos de negócio da organização e seus ativos de informação. Essa análisedeve considerar o que segue. • Missão, visão e objetivos estratégicos da organização, seus deveres legais e suas obrigações perante as partes interessadas e o ambiente interno e externo em que está inserida. • Identificação de processos diversos, incluindo a interligação com processos de fornecedores que dão suporte aos negócios da organização. • Avaliação da pertinência e da prioridade da seleção dos processos, identificando quais são os mais críticos. • Compreensão do impacto e dos efeitos em uma interrupção nos processos, o que leva à atribuição do tempo objetivado de recuperação. • Determinação do período máximo de interrupção tolerável, do objetivo mínimo de continuidade de negócios, do ponto objetivado de recuperação e dos recursos humanos e financeiros necessários para a estruturação da estratégia de continuidade de negócios. • Identificação dos impactos que podem trazer prejuízos para a organização. 2 Atividades de execução As atividades para a execução da análise de impacto no negócio são as descritas a seguir: • Planejamento das entrevistas com os gestores e responsáveis técnicos. Observando o organograma de uma organização, podemos verificar quais são os principais gestores. São essas 87 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO pessoas que devem responder às entrevistas. Experiências adquiridas de quem já participou de muitas entrevistas mostram que os gestores de nível hierárquico médio são os mais indicados no que se refere à obtenção de informações a respeito de questões operacionais. • Inventário e mapeamento de processos, sistemas e ativos de informação. Trata-se de um requisito que é fator crítico para toda a atividade do BIA, pois, se o mapeamento dos processos for feito de forma equivocada, as atividades que precisam desse produto trabalharão de forma errada. Por exemplo, se deixarmos de inventariar os ativos de conectividade (um roteador, por exemplo) que apresente problemas, não teremos um PCN que atenda a tal situação, e a indisponibilidade desse ativo pode acarretar a parada de um processo de negócio (classificado como crítico pelo resultado do BIA). 3 Metodologias de análise de impacto no negócio Vamos apresentar duas metodologias para a execução da análise de impacto no negócio: • uma mais simples, normalmente ensinada no meio acadêmico; • outra mais profissional, geralmente utilizada por profissionais experientes. Lembre-se de que as duas metodologias estão de acordo com os requisitos da Norma ABNT NBR ISO 22301:2020. A seguir, temos uma planilha que aponta os níveis de critérios que poderão ser utilizados nos métodos de análise de impacto no negócio. Análise de impacto no negócio A análise de impacto no negócio começa com uma pergunta: se o processo sofrer uma interrupção, qual o impacto para a organização? Tabela 3 Tipos de impacto Tempo para impacto (RTO – Tempo objetivado de recuperação) Impacto operacional Impacto à imagem Impacto financeiro Processos/ Serviços O: para operacional I: para imagem F: para financeiro 0: 2 semanas ou mais 1: 1 semana 5: menos de 3 dias 10: 1 dia 20: 4 horas 40: imediato 0: nenhum 1: baixo 3: médio 5: alto 7: extremo 0: nenhum 1: baixo 3: médio 5: alto 7: extremo 0: nenhum 1: baixo 3: médio 5: alto 7: extremo Soma total Código Processo 1 O e F 20 7 0 3 30 AA Processo 2 O, I e F 40 7 3 7 57 AAA Processo 3 I e F 20 3 3 3 29 AA Processo 4 O, I e F 10 5 5 3 25 AA 88 Unidade II Segue uma breve explicação de preenchimento da planilha de análise de impacto no negócio: • Na primeira coluna, devemos incluir os processos que estão no escopo da análise. • Na segunda coluna, devemos incluir três tipos de impactos mais adequados para a organização, ou seja, aqueles que estão mais em evidência no mercado em que a organização atua. • Na terceira coluna, devemos definir o RTO de cada um dos processos, seguindo os critérios definidos na coluna. • Na quarta coluna, devemos definir o valor do tipo de impacto operacional de cada um dos processos. • Na quinta coluna, devemos definir o valor do tipo de impacto à imagem de cada um dos processos. • Na sexta coluna, devemos definir o valor do tipo de impacto financeiro de cada um dos processos. • Na sétima coluna, devemos somar os valores das colunas 3, 4, 5 e 6. • Na oitava coluna, devemos inserir os códigos de priorização de cada processo. Conforme vimos, o BIA permite avaliar a prioridade na recuperação de processos e dos ativos de informação que devem ser mapeados e inventariados, como exemplificado a seguir: Quadro 16 Processos de negócios RPO (ponto objetivado de recuperação): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada MTPD (período máximo de interrupção tolerável): tempo necessário para que os impactos adversos se tornem inaceitáveis, que podem surgir como resultado de não executar um processo, ou fornecer um produto/serviço, ou realizar uma atividade OMCO (objetivo mínimo de continuidade de negócios): níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de negócios durante uma interrupção Processo 1 2 horas 72 horas Equipe de vendas de cinco pessoas com notebook e celular Processo 2 Imediato 24 horas Analista técnico e máquina virtual configurada com todos os softwares do inventário de ativos e rede Wi-Fi Processo 3 2 horas 96 horas Servidor físico com link de internet e máquinas virtuais configuradas de acordo com o inventário de ativos Processo 4 18 horas 48 horas Equipes do setor administrativo e de operação com no mínimo quatro pessoas, cada uma com notebook e internet 89 DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO A figura a seguir representa graficamente os tempos de recuperação que podem ser obtidos durante a execução da análise de impacto no negócio. RPO Ponto mais próximo RTO Tempo para recuperação do ambiente MTD Tempo máximo tolerável de inatividade (limiar do prejuízo para a empresa) MBCO Quanto a empresa precisa retornar da sua capacidade de entrega D - 1 D0 Incidente D + 2 D + 5 Tempo Figura 14 – Tempos de recuperação que podem ser obtidos durante a execução da análise de impacto no negócio A tabela a seguir apresenta um código de priorização dos processos, do mais crítico (o “AAA”) para o menos crítico (o “D”). Tabela 4 – Códigos dos pontos totais Código Soma dos pontos totais AAA 45 ou mais AA De 25 a 44 A 15 a 24 B 10 a 14 C 7 a 10 D 0 a 6 A priorização das atividades pode ser realizada de acordo com o código dos pontos totais. Tabela de impacto Podemos criar uma escala de graduação dos tipos de impactos conjuntamente com a alta direção, a fim de estabelecermos um parâmetro de avaliação de impactos para todos os processos de negócio do escopo do SGCN. Essa escala varia de 1 a 5, conforme mostrado a seguir: 1 – Não crítico 2 – Necessário 90 Unidade II 3 – Importante 4 – Significante 5 – Catastrófico Conforme indicado no quadro a seguir, foram estabelecidos exemplos de impactos que representam a escala mencionada, com a intenção de que haja melhor compreensão dos entrevistados do BIA: Quadro 17 Nível de severidade 1 2 3 4 5 Categorias de consequências do impacto e tipos de impacto Não crítico Necessário Importante Significante Catastrófico Financeiro Menos de US$ 5.000 Multas por atraso de pagamento de contas ou tributos De US$ 5.000 a menos de US$ 100.000 Indenização contratual De US$ 100.00 para menos de US$ 3 milhões Impacto decorrente de perdas de receita; aumento dos custos associados De US$ 3 milhões a menos de US$ 20 milhões Perda de lucro Mais de US$ 20 milhões Falta de liquidez Perda financeira nos negócios atuais e futuros Imagem Perda de confiança dos acionistas Exposição negativa na mídia O negócio das partes interessadas da organização é afetado Perda de fidelização dos clientes Perda de
Compartilhar